maçãE O Google E Microsoft Eles anunciaram esta semana que em breve oferecerão suporte a uma abordagem de autenticação que evita totalmente as senhas e, em vez disso, exige que os usuários apenas desbloqueiem seus smartphones para fazer login em sites ou serviços online. Especialistas dizem que as mudanças devem ajudar a derrotar muitos tipos de ataques de phishing e aliviar a carga geral de senhas para os usuários da Internet, mas alertam que o verdadeiro futuro sem senha ainda pode estar longe da maioria dos sites.
Os gigantes da tecnologia fazem parte de um esforço liderado pelo setor para substituir senhas, que são facilmente esquecidas, frequentemente roubadas por malware e esquemas de phishing, ou vazadas e vendidas online após violações de dados corporativos.
Apple, Google e Microsoft são alguns dos contribuintes mais ativos para o padrão de login sem senha estabelecido pela aliança FIDO (“Fast Identity Online”) e Consórcio da World Wide Web (W3C), os grupos que trabalharam com centenas de empresas de tecnologia na última década para desenvolver um novo padrão de login que funciona da mesma forma em vários navegadores e sistemas operacionais.
De acordo com a FIDO Alliance, os usuários poderão fazer login em sites por meio do mesmo procedimento que fazem várias vezes ao dia para desbloquear o dispositivo – incluindo um PIN do dispositivo ou biometria, como impressão digital ou digitalização de rosto.
“Essa nova abordagem protege contra phishing e tornará o login radicalmente mais seguro em comparação com senhas e tecnologias multifatoriais herdadas, como senhas de uso único enviadas via SMS”, escreveu a coalizão em 5 de maio.
Sampath SrinivasSob o novo sistema, seu telefone armazenará uma credencial FIDO chamada “senha”, que é usada para abrir sua conta online, disse o diretor de autenticação de segurança do Google e presidente da FIDO Alliance.
“A senha torna o login mais seguro, porque é baseado em criptografia de chave pública e só é visível na sua conta online quando você desbloqueia o telefone”, escreveu Srinivas. “Para fazer login em um site em seu PC, você só precisará do seu telefone perto de você e será simplesmente solicitado a desbloqueá-lo para acessá-lo. Depois de fazer isso, você não precisará do seu telefone novamente e poderá fazer login assim que desbloquear seu computador.”
Como ZDNetGenericName NotasApple, Google e Microsoft já oferecem suporte a esses padrões sem senha (como “Fazer login com o Google”), mas os usuários precisam fazer login em cada site para usar a funcionalidade sem senha. Sob esse novo sistema, os usuários poderão acessar automaticamente suas chaves de acesso em muitos de seus dispositivos – sem precisar registrar novamente cada conta – e usar seu dispositivo móvel para fazer login em um aplicativo ou site em um dispositivo próximo.
Johannes UlrichDean procura por Instituto Sans de TecnologiaO anúncio chamou de “de longe o esforço mais promissor para resolver o desafio da autenticação”.
“A parte mais importante deste padrão é que ele não exigirá que os usuários comprem um novo dispositivo, mas, em vez disso, podem usar dispositivos que já possuem e sabem como usar como autenticadores”, disse Ulrich.
Steve BellovinProfessor de Ciência da Computação na Universidade de Columbia e no início da Internet Pesquisador e pioneirodescreveu o esforço sem senha como um “enorme avanço” na autenticação, mas disse que levaria muito tempo para que muitos sites se atualizassem.
Um cenário potencialmente complicado no novo sistema de autenticação sem senha é o que acontece quando alguém perde seu dispositivo móvel ou seu telefone quebra e não consegue lembrar sua senha do iCloud, dizem Belovin e outros.
“Eu me preocupo com as pessoas que não podem comprar um dispositivo extra ou que não podem substituir facilmente um dispositivo quebrado ou roubado”, disse Belovin. “Estou preocupado com a recuperação de senha esquecida para contas na nuvem.”
O Google Diz Que mesmo se você perder seu telefone, “suas chaves de acesso serão sincronizadas com segurança com seu novo telefone a partir do backup na nuvem, permitindo que você continue de onde seu dispositivo antigo parou”.
A Apple e a Microsoft também têm soluções de backup em nuvem que os clientes que usam essas plataformas podem usar para recuperar um dispositivo móvel perdido. Mas Belovin disse que muito depende da segurança com que esses sistemas em nuvem são gerenciados.
“Quão fácil é adicionar a chave pública de outro dispositivo a uma conta sem permissão?” perguntou Belovin. “Acho que seus protocolos tornam isso impossível, mas outros discordam disso”.
Nicholas WeaverProfessor do Departamento de Ciência da Computação da Universidade da California, BerkeleyEle disse que os sites ainda devem ter alguns mecanismos de recuperação para o cenário “Você perdeu seu telefone e sua senha”, que ele descreveu como “uma questão muito difícil de fazer com segurança e é realmente uma das maiores fraquezas do nosso sistema atual”.
“Se você esquecer sua senha e perder seu telefone e conseguir recuperá-lo, isso é um grande alvo para os invasores”, disse Weaver em um e-mail. “Se você esquecer sua senha e perder seu telefone e não puder, bem, agora você perdeu o código de autorização usado para fazer login. Deve ser o último. A Apple tem a infraestrutura para suportá-lo (chaveiro do iCloud), mas é não está claro se o Google faz.”
No entanto, disse ele, a abordagem geral da FIDO foi uma ótima ferramenta para melhorar a segurança e a usabilidade.
“É realmente um bom passo à frente, e estou feliz em ver isso”, disse Weaver. “Aproveitar a autenticação forte do telefone do proprietário do telefone (se você tiver uma senha decente) é muito legal. E pelo menos para o iPhone, você pode torná-lo robusto mesmo para um comprometimento do telefone, pois é o cofre de bolso que lidará com isso e o seguro pocket não confia no sistema operacional do host.”
Os gigantes da tecnologia disseram que os novos recursos sem senha serão ativados nas plataformas Apple, Google e Microsoft “ao longo do próximo ano”. Mas especialistas disseram que provavelmente levará vários anos para que destinos da web menores adotem a tecnologia e desistam completamente das senhas.
Pesquisas recentes mostram que muitas pessoas ainda estão reutilizando ou reutilizando senhas (modificando ligeiramente a mesma senha), apresentando um risco de invasão de conta quando essas credenciais são eventualmente expostas em uma violação de dados. uma Relatório Em março de uma empresa de segurança cibernética SpyCloud Ele descobriu que 64% dos usuários reutilizam senhas para várias contas e 70% das credenciais que foram comprometidas em violações anteriores ainda estão em uso.
Documento branco disponível em março de 2022 sobre a abordagem da FIDO aqui (PDF). Há perguntas e respostas para isso aqui.